雷锋网编者按:机智如你,也许早已自动过滤这类低级的网络钓鱼骗术。但是,骗子也在不断升级诈骗手法,致使不断有人上当受骗。近期,腾讯守护者计划安全团队协助公安机关破获的几起网络钓鱼案件,能让你一窥这些“翻新”的诈骗手法。该文章由腾讯安全团队投稿,授权雷锋网发布。在不改变原意的基础上,该文章略有删节和改编,原标题为《守护者观察 | 三分钟破解教你破解新型网络钓鱼》。
--
“恭喜您成为我台《非常6+1》栏目场外幸运观众,获得5.8万元奖金和三星电脑一部,请登录www.cctv**8.com领取。”
叮——手机收到了这样一条短信,你嘴角微微一笑:最近骗子还在玩这些老招,想骗我?呵呵。
“尊敬的工行用户:您的账户积分已满10000分,可兑换5%的现金,请登录www.icbc**u.com查询兑换。”
叮——手机又收到了一条短信,这次,你看着网址,好像有点那么回事,嘴角又微微一笑:这种妖艳贱货的小把戏,还是骗不到我。
恭喜你成功跨过了两个坑,但是接下来有三个深坑,你看到之后可能嘴角再次微微一笑,然而发现事情并不简单。
“尊敬的星级客户,您可享受话费回馈活动充值 100 元送 200 元,立即登录充值www.xml***.com/ine优惠活动至今日截止【中国移动】”。
叮——怎么又收到一条短信。咦,你一看号码,10086。单看www.xml***.com网址,也是沈阳一家正规科技公司的主页。
(联通用户请自行脑补一下,你收到的是 10010 发过来的短信,呃,还有电信用户,雷锋网编辑好累,同上。)
但是,这确是一个深坑。
第一,这是不法分子利用伪基站把号码伪装成10086 发送的信息。
第二,经过深入分析,发现这是不法分子通过黑客入侵获得该服务器权限,并且在该正常网站下开创一个ine目录,然后把钓鱼网站模块嵌入其中,故www.xml***.com/ine实际上是一个钓鱼网站。由于钓鱼网站的源码“寄生”于正规网站中,不仅不易被管理员发现异常,而且可以顺利躲避安全软件的查杀。
用户在钓鱼网站输入账号密码后,身份信息、银行卡号、银行密码、手机号码(俗称“银行四大件”)等就落入不法分子之手。而后,不法分子用受害人的信息在第三方支付渠道购买游戏点卡、话费充值卡、机票门票等,确保信息正确(黑产界称为“洗料”),再将信息低价变卖。
购买一个网站服务器的权限仅需几块钱,价格远低于黑客自己搭建钓鱼网站。因此,这类寄生于正常网站中的钓鱼链接没有高仿的域名那样具有欺骗性,但其低廉的成本以及逃避安全软件查杀能力,逐渐受到黑产人员青睐。
不法分子以用户苹果 ID 账号消费异常等理由,诱骗受害人点击邮件中的钓鱼链接。
钓鱼邮件中的链接和官方网站的域名极其相似,且多数含有“Apple”“Apple Support”“Apple Care”等字样,欺骗性极高(如下图)。
一旦在钓鱼网站中输入自己的Apple ID及密码,就会被窃取。不法分子窃取用户苹果 ID 账号密码后,将用户的苹果 ID 和手机解除绑定,更换成其事先准备好的、锁机用的苹果 ID,或者直接修改用户苹果ID密码,然后利用苹果手机自带的“查找我的iPhone”功能,远程锁定手机再以解锁为由敲诈勒索钱财。
(图为远程锁机界面及敲诈勒索邮件和聊天记录)
不法分子通过企业邮箱向社交软件用户邮箱群发钓鱼邮件,钓鱼邮件内容仿冒官方安全中心,以更改密保手机或账号涉嫌发送色情、诈骗信息为由,诱导用户点击邮件中钓鱼链接,盗取用户账号、密码等个人重要信息。
不法分子通过钓鱼获得受害人账号密码后,就冒充受害人与其好友聊天,并谎称出车祸、代充话费、网上购物等理由向好友骗取钱财。
(图为诈骗人员欺诈时常用话术)
(图为不法分子制作的虚假银行转账记录)
从上面几个案例可以总结出网络钓鱼黑色产业链的基本作案模式:
首先,不法分子先搭建钓鱼网站;
其次,通过短信、邮件等方式大量发送钓鱼链接,诱骗受害人输入账号密码信息;
最后,利用钓鱼获取的个人账号信息进行变现。
这其中,每个环节都分工细致,作案成本不高,但收益巨大:
1、制作钓鱼网站:黑产人员注册高仿运营商、银行机构等域名,使用钓鱼网站源码或模仿运营商、银行机构的网页,然后购买美国或者香港免备案服务器搭建钓鱼网站。搭建一个完整的钓鱼网站,价格成本仅在 500 元左右。
2、群发钓鱼信息:钓鱼信息一般分为短信和邮件两种形式,分别利用伪基站和邮件群发器进行发送。雇佣伪基站发送钓鱼短信一般按照500元/时,或以合作分成的方式进行结算,而群发钓鱼邮件价格约为100-300元/万封。
3、盗取账号密码:不法分子将钓鱼网站后台收到的数据进行筛选整理,根据“料”的质量不同,按照不同价格在黑市中进行交易:
银行卡四大件不法分子“洗料”后,以每条1元的价格打包出售;
包含安全提示问题的苹果ID账号密码售价约50-60元/个;
好友数超过100人以上的网络社交账号的售价甚至高达200元/个。
4、下游犯罪变现:下游不法分子利用盗取的账号密码实施银行卡盗刷、冒充好友诈骗、敲诈勒索等违法行为进行变现,作为整个产业链的末端,也是整个产业链收益最多的一环。
1、所有网络钓鱼短信或邮件都会诱惑受害人点击进入精美设计的钓鱼网站,窃取个人账号密码等重要信息,因此在收到包含优惠活动、中奖、积分兑换、账号异常等内容的信息和邮件时,不要轻信天上掉馅饼的好事,也不要轻易被恐吓,如确需打开短信或邮件中的网站,请谨慎核实域名是否是官方网站。
最令人防不胜防的是这类伪装术逆天的钓鱼网站。
注意看上面的图:地址栏的显示是 apple.com,肉眼根本无法识别出这是假冒产品。只有将真假网址对比来看,才能发现假网址的字母(使用西里尔语里的a,比英文的a看起来略小),是有些“缩小”了的。
2、不随意在网站填写自己的身份证号、银行卡账号、密码等个人重要信息。如果一定要填写,必须再次确定域名是否是官方网站。另外,在无法判断网站真伪的情况下,也可以尝试先输入错误的账号密码进行登录,如果能登录成功,那么这个网站就是钓鱼网站。因为钓鱼网站是没有正确账号和密码,钓鱼者为了避免引起怀疑,只要用户输入了账号和密码,就能够登录成功。(一般人我不告诉他)
3、安装安全软件。